MS-Patchday flickt kritische Lücke im TCP/IP-Stack

Insgesamt 87 Sicherheitslücken flickt Microsoft beim Patchday diesen Monat. Mehrere Lücken sind davon als kritisch eingestuft, eine scheint aber ganz besonderes Schadpotential entfalten zu können. Ein Grund, mal etwas genauer hinzuschauen auf CVE-2020-16898.

Diese Sicherheitslücke ist auf der Microsoft-Homepage recht knapp beschrieben, doch schon diese paar Worte scheinen es in sich zu haben:

An attacker who successfully exploited this vulnerability could gain the ability to execute code on the target server or client.To exploit this vulnerability, an attacker would have to send specially crafted ICMPv6 Router Advertisement packets to a remote Windows computer.

Microsoft

Es genügt also, spezielle ICMPv6-Packete zu bauen und diese an einen Windows-Server zu schicken, um dort beliebige Code-Ausführung zu bewirken.

Betroffen ist Windows 10 in zahlreichen Versionen sowie Windows Server 2019. Microsoft stellt ein Powershell-Skript zur Verfügung, das als Mitigation das Problem auch ohne Patch umgehen soll:

netsh int ipv6 set int *INTERFACENUMBER* rabaseddnsconfig=disable

Dieser Workaround soll ab Windows 1709 funktionieren.

Wer seinen Server hinter einer Firewall betreibt (was unbedingt zu empfehlen ist), kann natürlich auch IP6-Packete einfach ablehnen. Ein Innentäter-Szenario ist mit dieser Schutzmaßnahme freilich nicht abgedeckt.

Das Sicherheitsunternehmen Sophos hat die Sicherheitslücke CVE-2020-16898 genauer unter die Lupe genommen. In einem Newseintrag wird schon relativ deutlich beschrieben, dass durch übergroße Datenpakete ein Buffer Overflow erzeugt wird. Sophos schätzt jedoch die Möglichkeit, daraus eine Codeausführung zu generieren, als „extremly difficult“ ein. Ein von Sophos programmierte Proof-of-Concept-Code hat „nur“ einen Bluescreen ausgelöst (und damit den Rechner „abgeschossen“).

Sophos schätzt diese Sicherheitslücke also weitaus harmloser ein als zum Beispiel der Sicherheitsforscher Bharat Jogi, der von einer „wurmartigen Ausnutzbarkeit“ spricht und die Wahrscheinlichkeit für einen solche PoC als hoch ansieht.